Beroepsgeheim IT-personeel / EPD - Persoonlijke financiën, studie en loopbaan

maandag 6 juli 2009 22:55

Acties:

0 Henk 'm!

Anoniem: 192135

Topicstarter

Door toepassing van het beroepsgeheim wordt een waarborg gegeven aan de vertrouwelijkheid van informatie bij professionals. Schending van dit beroepsgeheim wordt zwaar bestraft en geregistreerd. Door deze maatregelen is er een grotere mate van vertrouwen in het dienstdoend personeel. Tot dusver is dit enkel van toepassing geweest op medici (artsen, psychologen), juristen (advocaten, rechters), het politieapparaat en publieke functies.

Voor IT-personeel bestaat een dergelijke standaard voor zover ik weet niet.

Sysadmins, ontwikkelaars en medewerkers van datacenters hebben een grote mate van verantwoordelijkheid m.b.t. veiligheid, privacy en als één van hen buiten het boekje zou treden zou het in veel gevallen rampzalig voor de organisatie en haar klanten zijn.

Zelf ben ik nog niet zo lang één van de systeembeheerders voor twee MKB's en een tal van kleine bedrijfjes, met in principe alle mogelijke toegang. Als ik rogue zou gaan zouden meer dan een miljoen klantgegevens op straat liggen en zou ik de organisaties een grote klap toe brengen of zelfs de nek omdraaien.

Mede met het oog op IT-personeel wat zich momenteel bezig houdt met het Elektronisch Patienten Dossier (EPD), waar al onze (strikt vertrouwelijke) medische gegevens staan opgeslagen, wil ik bij deze een discussie starten omtrent de verantwoordelijkheid van IT'ers. Eventueel kan de scope nog iets breder getrokken worden door bijvoorbeeld medewerkers van banken, creditcardmaatschappijen en andere grote klantendatabases mee te nemen. Wellicht zou je de groepen medewerkers in diverse niveau's onder kunnen verdelen, bijvoorbeeld op hun access level of aantal klanten van de organisatie.

Ik ben er voorstander van dat wij in onze functies privacy en veiligheid dienen te garanderen en handhaven en dat dit officieel bezegeld dient te worden. Patient- en klantgegevens die wij onder onze ogen krijgen dienen met een zelfde mate van zorg en geheim behandeld te worden als dat artsen dit dienen te doen.

maandag 6 juli 2009 23:08

Acties:

0 Henk 'm!

DarkFlow

Ligt denk ik ook wel aan de branche. Zelf werk ik in de financiële sector en moest bij indiensttreding verplicht een Verklaring Omtrent Gedrag bij de gemeente aanvragen en inleveren. Het plegen van een strafbaar feit, al dan niet werkgerelateerd, zou dus kunnen leiden tot ontslag op staande voet.

maandag 6 juli 2009 23:11

Acties:

0 Henk 'm!

Ferruginous Hwk

Ik werk in een Ziekenhuis.
Je dient m.i. te voorkomen dat een systeembeheerder toegang heeft tot de medische data.
Dit zou bijvoorbeeld kunnen/moeten door de gegevens versleuteld weg te schrijven.
Toegang tot een applicatie lijkt me überhaupt bijna niet noodzakelijk.

Zolang je scheiding aanbrengt in Functioneel en Technisch Beheer houdt je de hoeveelheid data die een technisch beheerder kan inzien beperkt.

Een verklaring van geheimhouding, VOG en een presentatie over veiligheid en het belang van privacy behoren trouwens tot de standaard zaken die een beheerder dient te tekenen/te doorlopen voordat hij überhaupt aan het werk mag.

Everything should be made as simple as possible, but not simpler. (A. Einstein)

maandag 6 juli 2009 23:12

Acties:

0 Henk 'm!

Jan Smit

Prima discussie, maar bij het epd staan, voor zover ik weet, de gegevens niet centraal opgeslagen, maar decentraal bij de zorgverlener. Het EPD knoopt het alleen aan elkaar. Het is dus niet mogelijk om zomaar gegevens in te zien. Verder is, zonder de details te kennen, veel zorg besteed aan de privacy en logging van data. Ook nu al wordt in de zorg gepoogd zoveel mogelijk netwerken te koppelen. Zo is OZIS een organisatie die als voorloper van het epd regionale netwerken mogelijk maakt van bijvoorbeeld apotheken. Ook in dit geval is er alleen een server met de naw gegevens en geen medisch inhoudelijke gegevens.

Elke IT-er die binnen mijn apotheek onderhoud pleegt of uberhaupt in de buurt van een pc komt heeft een verklaring ondertekent bij het bedrijf waar ze werken; dit alles hoort binnen de gbz (goed beheer zorg heet dit, als ik het goed heb).

Kortom, er is blijkbaar toch meer dan jij vermoedt?

Wisdom has been chasing you, but you have always been faster..

maandag 6 juli 2009 23:27

Acties:

0 Henk 'm!

Anoniem: 192135

Topicstarter

Dank voor jullie reacties

Ik ben me ervan bewust dat bedrijven aan allerhande geheimhoudingsverklaringen doen, dat het verklaring van goed gedrag bestaat en dat de doorsnee IT'er over een redelijke dosis gezond verstand beschikt. Desalniettemin denk ik dat er landelijke/europese/wereldwijde standaarden moeten zijn die schending van de vertrouwelijke functie waarin wij ons bevinden niet luchtig behandeld dient te worden. Dit heeft mijn inziens een aantal belangrijke gevolgen:
- Preventief: de sysadmin zal twee keer nadenken voordat hij buiten zijn boekje gaat
- Preventief: rotte appels komen niet meer aan de bak in de IT sector
- Vergroten van vertrouwen: klanten/burgers hebben een groter vertrouwen in de waarborg van veiligheid en privacy
- Standaard: bedrijven en overheden hoeven zelf niet meer na te denken wat voor verklaringen het personeel moet tekenen. Ze hoeven er alleen over na te denken of iemand wel of niet zijn licentie nog heeft.

[ Voor 4% gewijzigd door Anoniem: 192135 op 06-07-2009 23:30 ]

dinsdag 7 juli 2009 08:36

Acties:

0 Henk 'm!

JBrennan

In mijn contract staat gewoon een geheimhoudingsclausule. Ik zit wel eens te geinen tegen mn schoonfamilie dat ik hun gegevens kan opzoeken in de systemen van hun ziekenhuis, maar als goed werknemer doe je dat toch niet (en ik weet niet eens of ik daar uberhaupt rechten voor heb).

Een extra "standaard" vind ik dan onzinnig. Het zorgt er niet voor dat er geen gegevens gestolen kúnnen worden, maar dat (hopelijk) de kans daarop lager wordt.

En dan nog, als ik gegevens niet geheim houd, dan pleeg ik contractbreuk.

dinsdag 7 juli 2009 08:48

Acties:

0 Henk 'm!

Anoniem: 4629

Je moet mensen niet meer rechten en toegang geven dan strikt noodzakelijk.
Zelf heb ik ook al genoeg geheimhoudingsverklaringen moeten tekenen. Maar dat is geen middel om misbruik te voorkomen. Enkel om je verantwoordelijk te kunnen houden achteraf.

dinsdag 7 juli 2009 08:54

Acties:

0 Henk 'm!

d_star

Maharadja of the Year :-/

Ikzelf werk als software tester, en in de loop der jaren ben ik op detacheringsbasis al bij een aantal bedrijven actief geweest. Wat me opvalt is dat bij zo'n beetje elke organisatie waar ik tot nu toe aan de gang ben gegaan, ik een geheimhoudingsverklaring/verklaring omtrent gedrag/een soortgelijk document heb moeten inleveren.

Sterker nog, bij sommige organisaties mag je niet eens beginnen voordat je zo'n document hebt ingeleverd. Op deze manier dekt de opdrachtgever zich juridisch in tegen verlies van gegevens, heb ik me laten vertellen.

Mocht ik inderdaad mn dark side laten zien en een heule bulk productie-data (waar ik normaal gesproken ook niet zomaar aan kan komen) naar buiten brengen, dan zal ik waarschijnlijk niet alleen mezelf nadelen, maar ook het detacheringsbureau waar ik voor werk. Om nog maar niet te spreken van de imago-schade voor de klant.

Je kan er dus rustig vanuit gaan dat er binnen mijn detacheringsbureau ook wel op wordt gehamerd dat vertrouwelijk _echt_ vertrouwelijk is. Wat uiteraard ook niet wegneemt dat je zelf een bepaalde morele verantwoordelijkheid moet nemen, imho. Ook wanneer je merkt dat men het bij je opdrachtgever/detacheringsbureau niet zo nauw neemt met vertrouwelijkheid danwel integriteit.

Intel Core 2 Quad Q6600, Asus P5K, 4x1GB Corsair XMS2 PC2 6400 CL4, Asus 8800 GTS 512 MB, Creative Audigy 4, Vista Home Premium 32-bits

dinsdag 7 juli 2009 09:12

Acties:

0 Henk 'm!

djlinsen

Well suffer my pretty warriors

Wellicht dekt de register informaticus de lading voor een gedeelte: http://www.vri.nl

Are you following me, Are you following me?

dinsdag 7 juli 2009 09:51

Acties:

0 Henk 'm!

Qwerty-273

Meukposter

***** ***

The Morrígan schreef op maandag 06 juli 2009 @ 23:27:
Desalniettemin denk ik dat er landelijke/europese/wereldwijde standaarden moeten zijn die schending van de vertrouwelijke functie waarin wij ons bevinden niet luchtig behandeld dient te worden.

Ik denk dan dat je het "vak" IT een beetje overschat. Als een juridisch persoon / medici heb je een behoorlijke opleiding nodig van een erkend instituut. Als IT'er kan je aan de slag als je een beetje handig met computers bent. Een heel groot verschil. Als je dus zo'n standaard aan je beroepsgroep wilt koppelen dan zit je direct vast met het voeren van een beschermde titel waar deze verantwoordelijkheid aan vast zit. En dus zonder een bepaalde opleiding en titel ben je geen IT'er meer.

Daarom is de huidige gang van zaken met in de meeste gevallen een geheimhoudingsverklaring oid bij een IT functie een zeer goede oplossing. Hetzelfde geldt ook voor een administratief medewerker die opzich en kopietje van belangrijke contracten mee zou kunnen nemen op een usb stickje en doorspelen aan de concurent zodat ze een aantrekkelijker aanbieding voor de klant zouden kunnen maken. Daar wil je ook niet zo'n standaard waar je overspreekt aan vast willen knopen.

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

dinsdag 7 juli 2009 11:24

Acties:

0 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

ReVolpe schreef op maandag 06 juli 2009 @ 23:11:
Ik werk in een Ziekenhuis.
Je dient m.i. te voorkomen dat een systeembeheerder toegang heeft tot de medische data.
Dit zou bijvoorbeeld kunnen/moeten door de gegevens versleuteld weg te schrijven.
Toegang tot een applicatie lijkt me überhaupt bijna niet noodzakelijk.

Ik werk ook in een ziekenhuis en helaas is mijn ervaring minder positief. Er is weinig oog voor beveiliging en er is simpelweg geen functie van Security Manager of iets soortgelijks. Hopelijk gaat er een boel verbeteren zodra we door de EPD audit heen moeten (en dus aan de NEN norm moeten voldoen). Zelf heb ik veel ervaring in de beveiliging (technisch en procedureel) maar ja, ik heb geen ervaring en contacten om dit op management niveau te laten oppakken. Wij als beheerders hebben wel geheimhoudingsplicht maar kunnen in principe overal bij.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 7 juli 2009 11:26

Acties:

0 Henk 'm!

CrankyGamerOG

Assumption is the mother.....

The Morrígan schreef op maandag 06 juli 2009 @ 22:55:
Door toepassing van het beroepsgeheim wordt een waarborg gegeven aan de vertrouwelijkheid van informatie bij professionals. Schending van dit beroepsgeheim wordt zwaar bestraft en geregistreerd. Door deze maatregelen is er een grotere mate van vertrouwen in het dienstdoend personeel. Tot dusver is dit enkel van toepassing geweest op medici (artsen, psychologen), juristen (advocaten, rechters), het politieapparaat en publieke functies.

Voor IT-personeel bestaat een dergelijke standaard voor zover ik weet niet.

Sysadmins, ontwikkelaars en medewerkers van datacenters hebben een grote mate van verantwoordelijkheid m.b.t. veiligheid, privacy en als één van hen buiten het boekje zou treden zou het in veel gevallen rampzalig voor de organisatie en haar klanten zijn.

Zelf ben ik nog niet zo lang één van de systeembeheerders voor twee MKB's en een tal van kleine bedrijfjes, met in principe alle mogelijke toegang. Als ik rogue zou gaan zouden meer dan een miljoen klantgegevens op straat liggen en zou ik de organisaties een grote klap toe brengen of zelfs de nek omdraaien.

Mede met het oog op IT-personeel wat zich momenteel bezig houdt met het Elektronisch Patienten Dossier (EPD), waar al onze (strikt vertrouwelijke) medische gegevens staan opgeslagen, wil ik bij deze een discussie starten omtrent de verantwoordelijkheid van IT'ers. Eventueel kan de scope nog iets breder getrokken worden door bijvoorbeeld medewerkers van banken, creditcardmaatschappijen en andere grote klantendatabases mee te nemen. Wellicht zou je de groepen medewerkers in diverse niveau's onder kunnen verdelen, bijvoorbeeld op hun access level of aantal klanten van de organisatie.

Ik ben er voorstander van dat wij in onze functies privacy en veiligheid dienen te garanderen en handhaven en dat dit officieel bezegeld dient te worden. Patient- en klantgegevens die wij onder onze ogen krijgen dienen met een zelfde mate van zorg en geheim behandeld te worden als dat artsen dit dienen te doen.

Een beetje goed georganiseerd bedrijf laat je zowieso een geheimhoudingsverklaring tekenen bij in dienst treden.
Met hieraan verbonden een dikke boete .

Elk bedrijf wat dit niet doet is een potentieel risico

KPN - Vodafone Ziggo Partner

dinsdag 7 juli 2009 13:13

Acties:

0 Henk 'm!

Anoniem: 54235

Geheimhoudingsplicht komt toch bij elk beroep voor waar men met privacy gevoelige gegevens werkt?

Ik heb voor mijn stage plaats (KCHL in een ziekenhuis) een geheimhoudingsplicht moeten ondertekenen. Voor mijn deeltijd studieplaats in het UMC Utrecht heb ik diverse verklaringen moeten ondertekenen en natuurlijk de verklaring omtrent gedrag. Sowieso is het de bedoeling dat bedrijfsgegevens niet door een IT-er of andere werknemer zomaar overal bekend worden gemaakt.

Meest vreemde was dat ik op mijn laatste dag stage al mijn aantekeningen, logboeken, cd-roms, dvd's etc. moest inleveren en mijn laptop hardeschijf moest wipen, ik had immers een onderzoek gedaan naar een bepaalde bepalingsmethode die nog in ontwikkeling was bij de firma.

dinsdag 7 juli 2009 14:07

Acties:

0 Henk 'm!

JaQ

Anoniem: 4629 schreef op dinsdag 07 juli 2009 @ 08:48:
Je moet mensen niet meer rechten en toegang geven dan strikt noodzakelijk.

"strikt noodzakelijk" is afhankelijk van je functie. Ik ben zelf Oracle DBA en ik kan over het algemeen buiten alle audit maatregelen om bij data van klanten komen als ik eenmaal op een (over het algemeen unix-) systeem aangelogd ben. Verzekeraars, banken en overheidsinstanties verschillen daarin niet. Als een security officer (oid) het al voor elkaar krijgt om alles gelogd te krijgen (waar ik altijd omheen kan als ik echt wil), dan moet deze officer vervolgens ook nog kunnen begrijpen wat ik gedaan heb (en ik word niet ingehuurd om een standaard-probleem op te lossen over het algemeen

)

Nu zijn er tegenwoordig best methodes om de data te encrypten, echter dat geeft weer een performance-verlies (wat weer als "niet acceptabel" wordt geclassificeerd). Bovendien bied dit weer extra risico's (er zijn horror verhalen waarbij bedrijven complete boekhoudingen enkel nog als encrypted files terug kunnen vinden, decrypten kan niet meer)

m.i. is audit-en veel belangrijker dan dichtzetten voor techneuten. Procedureel afspreken wat je wel en niet mag doen en hier steekproefsgewijs ook op controleren. Een verklaring omtrent gedrag (of hoe zoiets heet) is enkel een wassen-neus (net zoals een a-screening). Een contract waardoor je iemand achteraf een douw kan geven is (zoals je terecht aangeeft) voor de welbekende mosterd na de maaltijd.

Egoist: A person of low taste, more interested in themselves than in me

dinsdag 7 juli 2009 18:43

Acties:

0 Henk 'm!

Stacheldraht

Frankfurt am Main

Vraagje aan de systeembeheerders in dit topic. Zelf werk ik als sysadmin bij een vrij grote organisatie en heb ongeveer overal toegang toe. Waar ik echt grote moeite mee heb is het onder ogen krijgen van private data (mailboxen, homedirs, wachtwoorden van gebruikers etc etc). Ik probeer er altijd met een grote boog omheen te lopen omdat ik privacy een groot goed vindt net als mijn eigen privacy. Wat iemand bijv. in zijn mailbox heeft staan wil ik echt niet weten. Maar ja soms valt er niet aan te ontkomen.

Hebben meer sysadmins hier last van, ik weet van enkele collega's van mij dat sommigen er soms ook grote moeite mee hebben.

Alles hat ein Ende nur die Wurst hat zwei

dinsdag 7 juli 2009 18:53

Acties:

0 Henk 'm!

wildhagen

Blablabla

Stacheldraht schreef op dinsdag 07 juli 2009 @ 18:43:

Hebben meer sysadmins hier last van, ik weet van enkele collega's van mij dat sommigen er soms ook grote moeite mee hebben.

Laat ik het zo zeggen: als ik een verzoek krijg om in iemand mailbox iets te doen (zolang het niet die persoon zelf is uiteraard) wil ik dat graag zwart op wit hebben van zowel ZIJN baas, als de mijne. Uitzondering zijn dingen terughalen uit de retention etc, want tsja, dan zie je nu eenmaal afzender en subject etc, dat kan nu eenmaal niet anders. Maar ook dan mailtje zelf niet openen.

Qua homedirectories: tsja, als ik homedir's moet bulk-moven naar een andere server/disk, en het script loopt halverwege een homedir vast (bijv omdat er weer een directory van >256 tekens staat), zal ik toch handmatig die dir in moeten om te zien waarop het vastloopt en eventueel handmatig te kopieren. Dan zie je de folders en bestanden, dat is nu eenmaal moeilijk te voorkomen, maar je opent de bestanden niet uiteraard.

Voor wachtwoorden is het heel simpel: die krijgt niemand. Iemand wachtwoord kwijt? Reset password naar iets wat ter plekke verzonnen word en zet het vinkje 'must change password at next logon' aan. Klaar...

Ik ben dus ook systeembeheerder (Windows/Citrix), in de detachering, dus ik zit regelmatig bij nieuwe klanten. Hoef bij de meeste klanten geen VOG of verklaring af te geven/in te vullen (bij sommige weer wel). Die VOG heb ik afgegeven bij mijn eigen bedrijf, dus ik neem aan dat die dat doorspelen naar de klant waar ik aangeboden word. Maar zou een bedrijf mij vragen een verklaring te ondertekenen, doe ik dat uiteraard gewoon. Lijkt me vrij normaal allemaal.

Virussen? Scan ze hier!

dinsdag 7 juli 2009 20:34

Acties:

0 Henk 'm!

Mema

Binnen mijn bedrijf moet de security officer, HR en lijnmanagement toestemming geven voor homedirectory's en email. IT zet het open, zij bekijken de data. De security officer legt verantwoording af aan de RVB en is daarmee onafhankelijk. In mijn contract staat een geheimhoudingsverklaring.

Verder logging op kritieke punten. Je hebt wat uit te leggen als je bijvoorbeeld zonder een concrete RFC ergens langs geweest bent. Niet iedereen heeft "overal" rechten op. Eerste en tweede lijns support zijn bijvoorbeeld geen domain admin, hoe makkelijk dat ook is. Je krijgt precies genoeg rechten om je werk te kunnen doen. Steeksproefsgewijs laten we door een extern bedrijf testen of eea nog goed in elkaar zit en worden de loggings doorgekeken.

In de literatuur kom je ook wel tegen "security by obscurity" en "principle of least privilige". Security is vaak een mix van beide.

Mema

dinsdag 7 juli 2009 20:37

Acties:

0 Henk 'm!

Anoniem: 192135

Topicstarter

niemand hier voelt iets voor een europees pasje in zijn portemonnee met daarop iets als

LEVEL 5 SYSTEM ADMINISTRATOR

met pasfotootje, hologrammetjes en RFID voor het datacenter?

maar even serieus, afgezien van de VOG's en boeteclausules moet dit toch strakker gehandhaafd worden, of ben ik echt de enige die er zo over denkt?

woensdag 8 juli 2009 00:39

Acties:

0 Henk 'm!

ebia

Mema schreef op dinsdag 07 juli 2009 @ 20:34:
Binnen mijn bedrijf moet de security officer, HR en lijnmanagement toestemming geven voor homedirectory's en email. IT zet het open, zij bekijken de data. De security officer legt verantwoording af aan de RVB en is daarmee onafhankelijk. In mijn contract staat een geheimhoudingsverklaring.

Maar dan praat je over de situatie dat men bepaalde documenten van een bepaalde medewerk in wilt zien. Prima. Maar als jij gewoon een paar directories aan het moven bent, of aan het hernoemen, of een backup terugzet van een gebruiker. Al dat soort situaties; dan heb jij toch ook de rechten om daar bij te kunnen? En in principe ook de rechten om bij de data van een andere gebruiker te kunnen.

Waar het hier om gaat is dat het beroep als sysadmin nu eenmaal komt met wat verantwoordelijkheden en veel macht. Die macht is te misbruiken (vaak heel simpel), de vraag alleen is hoe veel maatregelen je wilt instellen om dat eventueel tegen te dringen? Security doe je op basis van risico's. Hoe hoger het risicoprofiel van de organisatie hoe hoger je alle muren van procedurele, technische en organisatorische beveiliging op moet trekken. Maar het is continue een afweging.

Verder logging op kritieke punten. Je hebt wat uit te leggen als je bijvoorbeeld zonder een concrete RFC ergens langs geweest bent. Niet iedereen heeft "overal" rechten op. Eerste en tweede lijns support zijn bijvoorbeeld geen domain admin, hoe makkelijk dat ook is. Je krijgt precies genoeg rechten om je werk te kunnen doen. Steeksproefsgewijs laten we door een extern bedrijf testen of eea nog goed in elkaar zit en worden de loggings doorgekeken.

Tja. Het ligt er maar net aan wat je je support laat doen en hoe groot zo'n afdeling is. Bij ons werken zelfs normale gebruikers zo nu en dan met admin domain accounts. Soms gaan dingen gewoon in goed vertrouwen. Het ligt denk ik zeer aan het type organisatie waarin je werkt. Zijn de mensen geneigd andermans werk te slopen of te stelen? Zo niet, dan is daarmee de kans ook een stuk lager dat het fout gaat en pas je daar je procedures op aan.

Ik zou alleen een externe organisatie voor zoiets betrekken als je zelf de know-how niet in huis hebt om dat te doen. Anders zie ik het als een slechte vertrouwensrelatie van de organisatie naar haar it-beheer. Dat is best triest; wel het vertrouwen in een externe partij maar niet in je eigen mensen.

In de literatuur kom je ook wel tegen "security by obscurity" en "principle of least privilige". Security is vaak een mix van beide.

Imho draait security een groot stuk om awareness. Het gaat niet om wie de macht heeft 'iets' te doen (als men kwaad wil doet men dat toch wel (ik kan je AD domain password in 5 minuten de-hashen als je dat wilt, zo moeilijk is dat niet)). Het gaat om de gehele organisatie bewust te maken van het feit dat slechte dingen kunnen gebeuren en welke invloed elke medewerker heeft om daar positief aan bij te dragen. Of deze nu op een IT afdeling werkt of elders in de organisatie...

Je kunt je hele personeelsdatabase wel mooi versleutelen, rechten beperken, enz enz... Als iemand die wel rechten heeft iets 'gevoeligs' uitprint en het gewoon bij de printer laat slingeren dan heb je evengoed een probleem. Ik denk dat in de dagelijkse praktijk het juist de it-beheerders zijn die regelmatig over security nadenken en erbij stilstaan. Maar als de rest van de organisatie ligt te slapen.... Leuk dat je elke stap van de IT logt, maar erg effectief zal het niet zijn...

woensdag 8 juli 2009 00:42

Acties:

0 Henk 'm!

swtimmer

Ontrafelt het leven!

ebia schreef op woensdag 08 juli 2009 @ 00:39:
[...]

Je kunt je hele personeelsdatabase wel mooi versleutelen, rechten beperken, enz enz... Als iemand die wel rechten heeft iets 'gevoeligs' uitprint en het gewoon bij de printer laat slingeren dan heb je evengoed een probleem. Ik denk dat in de dagelijkse praktijk het juist de it-beheerders zijn die regelmatig over security nadenken en erbij stilstaan. Maar als de rest van de organisatie ligt te slapen.... Leuk dat je elke stap van de IT logt, maar erg effectief zal het niet zijn...

Doet me denken aan de medische gegevens die wel eens uit de printer kwamen zetten op mijn kamer tijdens een stage. Blijkbaar maakte men welleens een fout met het kiezen van printer...

woensdag 8 juli 2009 01:28

Acties:

0 Henk 'm!

ebia

swtimmer schreef op woensdag 08 juli 2009 @ 00:42:
Doet me denken aan de medische gegevens die wel eens uit de printer kwamen zetten op mijn kamer tijdens een stage. Blijkbaar maakte men welleens een fout met het kiezen van printer...

Precies. En de inhoud heb je (deels) gezien, anders kan je niet beoordelen wat het was. Een goed werknemer beseft dat het niet voor hem is, maar beseft wel dat de inhoud gevoelig is: enkeltje prullenbak. Tegen een beetje normaal plichtsbesef en integriteit kan geen geheimhoudingsverklaring of procedure tegenop.

woensdag 8 juli 2009 01:51

Acties:

0 Henk 'm!

ebia

The Morrígan schreef op maandag 06 juli 2009 @ 23:27:
Ik ben me ervan bewust dat bedrijven aan allerhande geheimhoudingsverklaringen doen, dat het verklaring van goed gedrag bestaat en dat de doorsnee IT'er over een redelijke dosis gezond verstand beschikt. Desalniettemin denk ik dat er landelijke/europese/wereldwijde standaarden moeten zijn die schending van de vertrouwelijke functie waarin wij ons bevinden niet luchtig behandeld dient te worden. Dit heeft mijn inziens een aantal belangrijke gevolgen:
- Preventief: de sysadmin zal twee keer nadenken voordat hij buiten zijn boekje gaat
- Preventief: rotte appels komen niet meer aan de bak in de IT sector
- Vergroten van vertrouwen: klanten/burgers hebben een groter vertrouwen in de waarborg van veiligheid en privacy
- Standaard: bedrijven en overheden hoeven zelf niet meer na te denken wat voor verklaringen het personeel moet tekenen. Ze hoeven er alleen over na te denken of iemand wel of niet zijn licentie nog heeft.

Ik denk niet je een functie in de IT als vertrouwelijk kunt bestempelen. In principe kan ik bij data van anderen. Maar uiteindelijk is dat de data gefabriceerd in mijn baas zijn tijd; dus de data van mijn baas. Ik ben aangenomen om die data te onderhouden. Inherent aan mijn functie is dat ik dus toegang heb tot die data om er volgens mij kunstje op uit te werken. Zo simpel is het.Wat Qwerty-273 al zegt; in elke laag van een bedrijf, bij elke afdeling en in elke groep zijn er ongetwijfeld 'mogelijkheden' voor een slechterik om iets met die data uit te vreten wat niet in de haak is. Het vak van sysadmin bestaat nu al geruime tijd, tot nu toe is het nooit grote zaak geweest serieus iets aan z'n register te doen (alhoewel deze wel bestaat (elite-clubje)), wat zou nu in eens de noodzaak zijn waardoor de markt verlangt naar zo'n systeem? Als de markt zoiets wil komt het er vanzelf...

Preventief werkt zo'n systeem niet. Wat doe je tegen chantage of omkoping? Als hier grote belangen mee gemoeid zijn ga je je boekje te buiten, ook al ben je bekend met de risico's. Tevens moet het ook nog maar bewezen worden dat je je boekje te buiten bent gegaan. Het blunderen van een arts kun je toetsen aan allerlei gegevens (de papertrail, de patiënt (mits levend) en de verklaring van derden). Maar wie zou mijn IT 'fout' moeten toetsen en waaraan precies? Dan zou je een systeem moeten hebben wat elke muisklik op een computer registreert, want je weet zelf wel als je in de IT werkt: een eigen gemaakte fout kan als snel worden uitgelegd als een 'storing in het systeem'.

Vertrouwen kan ik me iets bij voorstellen. Maar dan geldt voornamelijk; in wie heb je dat vertrouwen? Ik vertrouw niet in EPD (ben ook uitgeschreven daarvoor). Ik heb voldoende vertrouwen in de mensen die het systeem bouwen en beheren, ik heb alleen geen vertrouwen in de afscherming van het systeem voor derden. Mark my words, over een jaar of vijf de volgende headline in het nieuws "VERZEKERINGSMAATSCHAPPIJ BETRAPT OP MISBRUIK GEGEVENS EPD", iets in die trant. Of de eigen overheid die voor een onderzoekje wat ongevraagde steekproefjes houdt met data in het systeem.
Daar wringt de schoen voor mij, ik krijg geen garanties dat dat niet mogelijk zal zijn... Een geflipte EPD ITer kan hooguit iemand chanteren door gevoelige medische data door te spelen aan een derde, maar dan doe je aangifte en komt ie in de cel. Steelt ie de hele database dan komt de AIVD wel in beeld. Nee voor die laatste situatie ben ik niet zo bang, dat kan men wel afvangen. De situatie waarbij bepaalde belanghebbende organisaties potentieel op grootschalige wijze data kan vergaren en informatie misbruiken jegens een grote groep lijkt mij veel kwalijker.

[ Voor 8% gewijzigd door ebia op 08-07-2009 01:59 ]

woensdag 8 juli 2009 01:56

Acties:

0 Henk 'm!

Turdie

Ik ben systeembeheer bij een bank, en ik weet een aantal servers waar bijvoorbeeld alle codes worden gestuurd naar klanten om aan te loggen via een sms-code.Als ik in de logfiles zou kijken, zou ik wel 10.000 mobiele nummers van klanten aan bijvoorbeeld sms spammer kunnen verkopen.En daarnaast ben ik ook nog een extern en heb ik alleen maar een geheimhoudingsverklaring getekent bij mijn huidige bedrijf. Security monitoring zit er wel op deze servers, maar deze wordt door een externe partij beheerd dus daar hebben we helemaal geen inzicht in

. Applicatiebeheerders kunnen niet aanloggen op deze servers, en wij moeten dus de logfiles naar hun opsturen. Nauurlijk heb je wel een compliance cursus gehad wat wel en niet mag

. Als men erachter komt wat ik hierboven beschrijf zit je al gauw bij je compliance officer en mag je, je toegangspas inleveren.Maar er zijn ook accounts, waarvan wij het wachtwoord weten, die een soort local admin zijn, en dan ben je heel lastig te traceren ook voor de security monitoring, eigenlijk heel slecht, vanuit security oogpunt is dit natuurlijk een doodzonde.

[ Voor 31% gewijzigd door Turdie op 08-07-2009 02:03 ]

woensdag 8 juli 2009 09:19

Acties:

0 Henk 'm!

JBrennan

The Morrígan schreef op dinsdag 07 juli 2009 @ 20:37:
niemand hier voelt iets voor een europees pasje in zijn portemonnee met daarop iets als

LEVEL 5 SYSTEM ADMINISTRATOR

met pasfotootje, hologrammetjes en RFID voor het datacenter?

maar even serieus, afgezien van de VOG's en boeteclausules moet dit toch strakker gehandhaafd worden, of ben ik echt de enige die er zo over denkt?

Als ik een bug bij een klant moet testen, dan moet ik eerst inbellen met mijn eigen Windows account, de klant bellen voor een code, dan inloggen, dan een remote desktop openen met nóg een account. Als ik mazzel heb zit ik dan op de goede machine, zo niet, dan kan ik nog 1 à 2 keer inloggen. Ik hoef er echt niet nóg een laag bureaucratie ben. Het is vast goed bedoeld, maar "the road is paved with good intentions". Als een willekeurig iemand in die keten kwaad wil doen kan hij/zij dat toch. Certificering is dan altijd mosterd na de maaltijd.

woensdag 8 juli 2009 10:47

Acties:

0 Henk 'm!

Ardana

Moderator General Chat

Mens

Er zijn nog altijd bedrijven die er anders mee omgaan. Mijn detacheringsbedrijf beheert de mailserver zelf (denk dat veel bedrijven dat doen). Ik heb het password van mijn mailbox per telefoon doorgekregen - en heb geen mogelijkheid die te veranderen.

De serverbeheerder (die tegelijkertijd onderdeel van het MT is) kan dus probleemloos al mijn mail lezen.

Toch hamert mijn bedrijf op integriteit en betrouwbaarheid e.d. en heb ik de nodige verklaringen moeten ondertekenen én nu 2x een VOG moeten aanleveren. M.i. zijn ze nogal hypocriet dus. Zijn er meer mensen die zoiets hebben?

Steun het recht op abortus, teken de petitie! My Voice, My Choice!

woensdag 8 juli 2009 11:51

Acties:

0 Henk 'm!

IStealYourGun

Доверяй, но проверяй

Ik werk op de ICT-dienst bij een overheidsinstelling en hier is het zelfs bij wet verboden om e-mails van collega's te lezen, maar verder hebben we geen beperkingen. Soms gebeurt het dat we eens in de persoonlijke mappen van collega's moeten kijken maar we dienen die mensen daar dan van op de hoogte te brengen en doen dat zo discreet mogelijk. Het zelfde als we een toestel op afstand moeten overnemen, dan bellen we altijd om te vragen of het goed is.

donderdag 9 juli 2009 12:18

Acties:

0 Henk 'm!

Anoniem: 165232

Voor sommige projecten wordt wel met een NDA (none disclosure agreement) gewerkt. Daarnaast geheimhoudingsplicht (standaard in een project).

Bij kritieke overheidsprojecten heb je ook nog bepaalde levels die je moet halen A,B,C over je integriteit etc.

donderdag 9 juli 2009 15:22

Acties:

0 Henk 'm!

snoopp17

Juist in het EPD is het goed geregelt ,tot de info in het patienten dossier hebebn alleen maar mensen toegang die een zorgrelatie met de patient hebben lees artsen,specialisten dit wordt ook geregistreerd.
Het is dus niet moglijk dat bv it'ers die bij zorginstellingen, artsen en apothekers hier toegang toe hebben.
Natuurlijk is alles zo sterk als de zwakste schakel , als een arts of medisch specialist de it er toegang geeft tot het dossier houd het op doordat hij zijntoken en wachtwoorden geeft aan de it'er houd t het natuurlijk op. Voor de it,ers geeft dit natuurlijk problemen i.v.m support hier is momenteel nog niks voor geregeld buiten het feit dat hij geen toegang heeft,momenteel is men nog aan het bekijken of hier nog een aparte voorziening voor moet komen. Ook wordt ver precies bijgehouden wie er toegang heeft gehad tot het het dosiier en wanneer.

donderdag 9 juli 2009 19:40

Acties:

0 Henk 'm!

SiErRa

snoopp17 schreef op donderdag 09 juli 2009 @ 15:22:
Juist in het EPD is het goed geregelt ,tot de info in het patienten dossier hebebn alleen maar mensen toegang die een zorgrelatie met de patient hebben lees artsen,specialisten dit wordt ook geregistreerd.
Het is dus niet moglijk dat bv it'ers die bij zorginstellingen, artsen en apothekers hier toegang toe hebben.
Natuurlijk is alles zo sterk als de zwakste schakel , als een arts of medisch specialist de it er toegang geeft tot het dossier houd het op doordat hij zijntoken en wachtwoorden geeft aan de it'er houd t het natuurlijk op. Voor de it,ers geeft dit natuurlijk problemen i.v.m support hier is momenteel nog niks voor geregeld buiten het feit dat hij geen toegang heeft,momenteel is men nog aan het bekijken of hier nog een aparte voorziening voor moet komen. Ook wordt ver precies bijgehouden wie er toegang heeft gehad tot het het dosiier en wanneer.

Deze data staat toch ergens in een database, die weer door it'ers wordt beheerd en vaak niet encrypted is.

donderdag 9 juli 2009 19:49

Acties:

0 Henk 'm!

PipoDeClown

Izze Zimpell

kuch: ongecodeerde hl7 berichten per email - smtp platte tekst - over het internets.

slechts een kleine groep iters maakt zich druk om beveiliging

God weet alles, want hij is lid van de Mosad. To protect your freedom i will take that away from you. Mijn drankgebruik heeft ernstig te lijden onder mijn gezondheid.

donderdag 9 juli 2009 20:04

Acties:

0 Henk 'm!

Ethirty

Who...me?

PipoDeClown schreef op donderdag 09 juli 2009 @ 19:49:
kuch: ongecodeerde hl7 berichten per email - smtp platte tekst - over het internets.

slechts een kleine groep iters maakt zich druk om beveiliging

Of ze maken zich er wel druk om, maar degene voor wie ze werken interesseert het geen fluit.

Vooral in het MKB wil men niet elke 30 dagen een nieuw password en moeten ze het toch dan plakken ze het op het scherm. Ze geven hun password aan elke onbekende die erom vraagt. Als er een keer iets kritisch is (ontslag beheerder vanwege fraude) dan kost het de grootst mogelijke moeite de mensen te overtuigen van de noodzaak van een geforceerde beveiligings-vernieuwing.

ReVolpe schreef op maandag 06 juli 2009 @ 23:11:
Je dient m.i. te voorkomen dat een systeembeheerder toegang heeft tot de medische data.
Dit zou bijvoorbeeld kunnen/moeten door de gegevens versleuteld weg te schrijven.
Toegang tot een applicatie lijkt me überhaupt bijna niet noodzakelijk.

Een beheerder die niet bij applicatie of data kan, kan zijn werk niet goed doen. Wie gaat het dan beheren, de gebruiker zelf? Laat me niet lachen... In jouw scenario moet ik een probleem oplossen en ongetest aan de gebruiker opleveren of ik moet het onder het account van de gebruiker doen, maar daarvoor heb ik zijn gegevens nodig.

Het probleem zit eerder bij gebruikers die teveel kunnen en niet beseffen wat de consequenties van die rechten zijn dan bij de beheerders. Rotte appels vind je overal, maar er zijn nog altijd meer gebruikers dan beheerders.

#team_UTC+1

An investment in knowledge always pays the best interest - Benjamin Franklin
You can call me McOverloper  Mini '12 i7/16/256  Air '13 i5/8/256  iPad mini 5 64GB  iPhone SE 128GB

donderdag 9 juli 2009 20:04

Acties:

0 Henk 'm!

Stacheldraht

Frankfurt am Main

PipoDeClown schreef op donderdag 09 juli 2009 @ 19:49:
kuch: ongecodeerde hl7 berichten per email - smtp platte tekst - over het internets.

slechts een kleine groep iters maakt zich druk om beveiliging

Behalve bij ons

Ik ben verplicht inloggegevens, wachtwoorden en dergelijke altijd encrypted per mail te verzenden. Nu moet ik wel eerlijk zeggen dat mijn werkgever een van de weinige werkgevers is die dit verplicht. Zelf ben ik er wel blij mee

Alles hat ein Ende nur die Wurst hat zwei

donderdag 9 juli 2009 20:22

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

mi is er toch een erg groot verschil met een dokter/jurist tov een IT'er. De eerste groep heeft ook altijd een hoge verantwoordelijkheid in zijn functie, waar de IT zo'n breed begrip is geworden dat je er onmogelijk een standaard voor kan maken.

Het overgrote deel die mogelijk toegang hebben tot vertrouwlijke informatie hebben enkel zelf de conquenties te dragen, als jij een mailbox van je collega op het internet gooi is dat mischien knap lullig voor haar, maar wil niet weten wat de aanklachten gaan worden tegen jou en denk niet dat je volgende job-aanbieder blij is dat je ontslagen bent obv 'naar buiten spelen van vertrouwlijke informatie'.

Zelf kan ik nagenoeg overal bij, maar daar heb ik ook voor getekend. Maar ik weet dat ik enkel problemen voor mijzelf creeer dan voor een ander, mocht ik ooit iets willen doen met die data.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 9 juli 2009 23:09

Acties:

0 Henk 'm!

ebia

Ondanks dat ik zelf nooit 'ergens voor getekend' heb ben ik wel r00t. Maar ik denk dat als je op die manier zoals SinergyX omschrijft zo gegevens openbaart dat er alsnog wel een stok te vinden is waarmee je geslagen kunt worden.

Daarnaast kunnen dingen altijd nog per ongeluk geopenbaard worden. Dit blijft ten alle tijden het risico van de werkgever; daar kun je in principe dus ook niet om ontslagen worden! En geen geheimhoudingsverklaring die daar tegen helpt.

Pagina: 1

Reageer